Administrador do fórum hacker XSS.is é preso em Kiev após 12 anos de operação

A Europol anunciou na segunda-feira a prisão do suspeito de ser o administrador do XSS.is (anteriormente conhecido como DaMaGeLaB), uma das mais notórias e antigas plataformas de cibercrime de língua russa, que servia como um verdadeiro mercado negro para o submundo digital.

A prisão, que ocorreu em Kiev, Ucrânia, no dia 22 de julho de 2025, foi o culminar de uma investigação iniciada pela Polícia Francesa em julho de 2021. A operação foi liderada pela Polícia e pela Promotoria de Paris, em colaboração com as autoridades ucranianas e a Europol.

Juntamente com a prisão, as autoridades tomaram o controle do domínio principal do XSS.is. Visitantes do site agora são recebidos com um aviso de apreensão: "Este domínio foi apreendido pela la Brigade de Lutte Contre la Cybercriminalité com a assistência do Departamento Cibernético da SBU."

"O fórum, que tinha mais de 50.000 usuários registrados, servia como um mercado-chave para dados roubados, ferramentas de hacking e serviços ilícitos", declarou a Europol em comunicado. "Ele foi por muito tempo uma plataforma central para algumas das redes de cibercriminosos mais ativas e perigosas, sendo usado para coordenar, anunciar e recrutar."

O administrador do fórum, além de cuidar das operações técnicas do serviço, é acusado de ter sido uma peça fundamental para a atividade criminosa, atuando como um terceiro de confiança para arbitrar disputas entre criminosos e garantir a segurança das transações, funcionando como um serviço de "escrow".

Acredita-se que o indivíduo, cujo nome não foi divulgado, também administrava o thesecure.biz, uma plataforma de mensagens privadas criada especificamente para atender às necessidades dos cibercriminosos. Através desses empreendimentos ilícitos, estima-se que o suspeito tenha lucrado cerca de €7 milhões (aproximadamente R$ 45 milhões) com taxas de publicidade e facilitação de negócios.

"Os investigadores acreditam que ele esteve ativo no ecossistema do cibercrime por quase duas décadas e manteve laços estreitos com vários hackers importantes ao longo dos anos", acrescentou a Europol.

Segundo a Promotoria de Paris, o XSS.is estava ativo desde 2013, funcionando como um hub para todo tipo de cibercrime, desde a venda de acesso a sistemas comprometidos até serviços relacionados a ransomware. Ele também oferecia um servidor de mensagens Jabber criptografado que permitia aos criminosos se comunicarem anonimamente.

A prisão ocorre apenas uma semana após outra grande operação liderada pela Europol ter desmantelado a infraestrutura online associada ao grupo hacktivista pró-Rússia conhecido como NoName057(16). Naquela ocasião, duas pessoas foram presas por conduzirem ataques de negação de serviço (DDoS) contra a Ucrânia e seus aliados usando uma ferramenta chamada DDoSia.

Um relatório do Insikt Group da Recorded Future, publicado esta semana, revelou a escala dos ataques do NoName057(16): o grupo mirou 3.776 alvos únicos entre julho de 2024 e julho de 2025. Os alvos eram principalmente entidades governamentais, do setor público, transporte, tecnologia e finanças em nações europeias que se opõem à invasão da Ucrânia pela Rússia. A Ucrânia foi o país mais visado (29.47%), seguida por França (6.09%) e Itália (5.39%).

A análise da infraestrutura do NoName057(16) expôs uma arquitetura resiliente e multicamadas, com servidores de comando e controle (C2) que eram rotacionados rapidamente para evitar a detecção. "O grupo hacker mantém um alto ritmo operacional, com uma média de 50 alvos únicos por dia, com picos de atividade que se correlacionam com desenvolvimentos geopolíticos e militares na Ucrânia", afirmou o relatório.

Via - THN